IT-Sicherheit Putins Cyber-Krieg
Unmittelbar vor Russlands Invasion hat Putin zum Cyberschlag ausgeholt, der über Monate vorbereitet worden war. Experten befürchten laut SWR, dass in Deutschland Schadsoftware eingeschleust wurde, die jederzeit aktiviert werden könnte.
Der russischen Invasion ging ein massiver Cyberschlag voraus, der monatelang minutiös vorbereitet wurde. Das geht aus IT-forensischen Analysen hervor, die dem SWR vorliegen. Hunderte Systeme in mindestens fünf Organisationen waren betroffen. Die eigentliche Schadsoftware zerstört dabei die Informationen und Datenträger nachhaltig und verhindert auch deren Wiederherstellung. Entdeckt haben das Cyber-Spezialisten des in Bratislava ansässigen IT-Sicherheitsunternehmen ESET.
Der erste Angriff erfolgte in der Nacht zwischen dem 13. und 14. Januar. Der Schadcode hatte sich als Ransomware getarnt, eine Software, die Cyber-Kriminelle einsetzen, um Lösegeld zu erpressen. Doch hier war keine Lösegeldzahlung möglich, um verschlüsselte Daten wieder freizuschalten, die Daten wurden durch die Software unwiederbringlich gelöscht. Solche Programme nennen Experten "Wiper". Wenige Stunden vor der Invasion am 23. Februar schlug ein weiterer sogenannter Wiper zu, den die Experten von ESET "Hermetic Wiper" tauften.
Cyber-Angriff monatelang vorbereitet
"Wir entdeckten Hermetic Wiper auf hunderten Systemen in mindestens fünf verschiedenen ukrainischen Organisationen", beschreibt der leitende IT Experte von ESET, Robert Lipovsky, den Fund. "Der Datumsstempel zeigt, dass die Schadsoftware am 28. Dezember 2021 zusammengesetzt wurde. Zusammen mit anderen Indikatoren ein Hinweis darauf, dass der Angriff Monate vorher vorbereitet wurde" sagt Lipovsky.
Eine Spur in der Software verweist auf das Datum 13. April 2021. Das Auffällige: die Programmierteile enthielten laut ESET keinerlei Bezüge zu bekannten Angreifern oder Schadcodes. Unbekannt sei, wie der Schadcode in die Systeme kam, sicher sei nur, die Angreifer waren in den Systemen, bevor sie die Schadkomponente einsetzten.
Die Software hätte zwei Ziele: Spionage und Zerstörung. Es gebe keine finanziellen Interessen, was auf einen staatlichen Angriff hinweise. Und die Programmierer hätten versteckte Botschaften im Code hinterlassen: "ForBiden" und "WhiteHouse". ESET beteiligt sich nicht an der Spekulation, wer hinter dem Angriff steckt, dies sei Sache der Geheimdienste, dennoch passt der Cyber-Angriff nach Ansicht vieler Experten zu der militärischen Strategie Putins.
Sollte Putin eine Eskalation unter Beteiligung westlicher Staaten mit einkalkuliert haben, so befürchten Cyber-Berater, dass Schadsoftware russischer Herkunft schon vor Monaten gängige Schutzmechanismen umgangen hat, um an Zielorten wie Deutschland auf den Einsatz zu warten.
ESET Sprecher Thorsten Urbanski erklärte gegenüber dem SWR auf Anfrage: "Es ist nicht unwahrscheinlich, dass bei einer weiteren Eskalation des Konflikts auch Deutschland in den Fokus staatlich motivierter Cyberangriffe gerät. Es ist daher nicht auszuschließen, dass Computersysteme kleinerer Versorgungsunternehmen, z.B. lokale Energieversorger, bereits infiltriert sind."
Kritische Infrastruktur und Zulieferer besonders gefährdet
Diese Gefahr sieht auch Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrat Deutschland. Der in Berlin ansässige Verein berät Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Angesichts der aktuellen Entwicklung in der Ukraine, befinde sich die kritische Infrastruktur, also beispielsweise Energieversorger, das Gesundheitswesen, Finanzinstitute und staatliche Einrichtungen in einer besonderen Gefährdungslage.
"Einmal im System können Hacker die gesamten Organisationen ausforschen und zu einem beliebigen Zeitpunkt zuschlagen. Wir rechnen damit, dass diese Schläfer im Zuge des aktuellen Ukrainekriegs auf diesem Weg vermehrt Angriffe durchführen," sagte Dünn dem SWR.
"Die übliche Schadsoftware hat häufig Spionage oder Cyber-Kriminalität zum Ziel, meist Lösegeld-Erpressung nach Datenverschlüsselung. Im Unterschied dazu zielt Hermetic Wiper klar auf Sabotage und irreparable Schäden durch komplette Datenlöschung", beschreibt eine Sprecherin des Verbands kommunaler Unternehmen (VKU) die Sorgen der Mitglieder, die ganz wesentlich dafür verantwortlich sind, dass in Deutschland Strom, Wasser und andere kritische Infrastruktur funktionieren.
Deutschland gilt als leichtes Ziel
Führende internationale Experten halten Deutschland für ein besonders verwundbares Ziel. Harel Menashri, Leiter der Cyber-Abteilung des Holon Instituts, der seit 36 Jahren für die israelischen Sicherheitsbehörden arbeitet und auf den Schutz von kritischer Infrastruktur spezialisiert ist, beschreibt gegenüber dem SWR die Bedrohungslage aus internationaler Sicht: "Russland ist international führend bei Cyber-Angriffen." Seiner Meinung nach wird das Embargo gegen Russland die Cyber-Aktivitäten Russlands erhöhen, Ziel dieser Angriffe seien dabei vor allem "die weichen Ziele westlicher Staaten."
Genau solche "weichen Ziele" könnten für Angreifer deutsche Unternehmen sein, glaubt Mattias Wåhlén. Der Leiter der Bedrohungsaufklärung beim Cyber-Sicherheitsunternehmen Truesec arbeitet seit 35 Jahren für die schwedischen Sicherheitsbehörden. Dem SWR sagte er: "Wir schätzen ein, dass Deutschland einige Probleme hat, solche Bedrohungen aufzuspüren. Wir glauben, dass die Cybersicherheit in Deutschland hinter anderen westlichen Staaten zurückbleibt. Deutsche Organisationen könnten darum jetzt stärker ins Visier genommen werden."
Da andere Länder ihre Cybersicherheit und Abwehr in den letzten Jahren deutlich verbessert hätten, gelten deutsche Ziele nach Meinung Wåhléns für Cyberkriminelle als auch für staatliche Akteure als "niedrig hängenden Früchte". Das bedeutet, die Angreifer gehen immer den Weg des geringsten Widerstands, um ihr Ziel zu erreichen. Bisher habe die Sprachbarriere einen gewissen Schutz geboten, doch mittlerweile hätten die Organisationen das Geld, auch deutschsprachige Mitarbeiter zu beschäftigen.
Der Verband kommunaler Unternehmen sieht darum die Politik in der Pflicht und fordert ein "echtes nationales Cyberabwehrzentrum" und finanzielle Unterstützung für kleine und mittlere Unternehmen bei der Cyber-Sicherheit. Für den laufenden Konflikt dürfte das zur Gefahrenabwehr jedoch bereits zu spät sein.